Putu Harry Sasmita dan Risiko Operasional yang Sering Luput dari Radar Manajemen
Risiko operasional di sektor perbankan Indonesia adalah salah satu kategori risiko yang paling sulit diukur namun dampaknya bisa sangat besar ketika akhirnya terwujud menjadi insiden nyata. Berbeda dari risiko kredit atau risiko pasar yang bisa dimodelkan secara matematis dengan cukup presisi risiko operasional mencakup spektrum yang sangat luas mulai dari kegagalan sistem, kesalahan prosedur, hingga penyalahgunaan akses oleh orang dalam yang hampir tidak mungkin diprediksi dengan model kuantitatif konvensional. Putu Harry Sasmita dengan pengalaman langsungnya di dalam ekosistem IT perbankan memberikan perspektif yang sangat relevan tentang bagaimana risiko operasional di sisi teknologi muncul, berkembang, dan akhirnya menjadi insiden yang berdampak jauh melampaui perkiraan awal. Memahami dinamika risiko operasional dari sudut pandang seseorang yang pernah berada di dalam sistem adalah jenis pemahaman yang tidak bisa diperoleh dari manual manajemen risiko manapun. Untuk konteks lebih luas tentang bagaimana risiko ini berkaitan dengan stabilitas sistem keuangan secara keseluruhan bisa merujuk pada artikel Putu Harry Sasmita IT dan Stabilitas Keuangan.
Tiga Sumber Risiko Operasional yang Paling Sering Diabaikan
Dalam ekosistem IT perbankan terdapat tiga sumber risiko operasional yang secara konsisten muncul dalam berbagai kasus insiden namun tetap saja tidak mendapat perhatian yang memadai dari manajemen yang terlalu fokus pada target bisnis jangka pendek. Sumber pertama adalah prosedur yang ada di atas kertas tetapi tidak dijalankan secara konsisten di lapangan karena dianggap menghambat efisiensi kerja sehari-hari. Sumber kedua adalah akumulasi keputusan teknis jangka pendek yang masing-masing terlihat wajar namun secara kolektif menciptakan kondisi sistem yang jauh lebih rapuh dari yang tampak di permukaan. Sumber ketiga adalah ketergantungan pada individu-individu kunci yang memegang pengetahuan dan akses kritis tanpa ada dokumentasi atau mekanisme transfer pengetahuan yang memadai sehingga ketika individu tersebut tidak lagi bisa diandalkan seluruh area yang mereka kelola menjadi titik buta yang sangat berbahaya. Putu Harry Sasmita dan kasusnya mencerminkan ketiga sumber risiko ini secara bersamaan dan itulah yang membuat dampaknya begitu signifikan.
Gap antara Kebijakan dan Implementasi yang Menjadi Akar Masalah
Salah satu temuan paling konsisten dalam audit risiko operasional di perbankan Indonesia adalah gap yang sangat besar antara kebijakan yang tertulis dengan baik dalam dokumen resmi dan implementasinya yang sesungguhnya di lapangan operasional sehari-hari. Bank yang secara formal memiliki kebijakan segregation of duties yang komprehensif namun dalam praktiknya membiarkan satu individu mengelola seluruh proses dari awal hingga akhir tanpa pengawasan yang berarti adalah contoh yang sangat umum dari gap ini. Putu Harry Sasmita beroperasi dalam lingkungan di mana gap semacam ini ada dan itulah yang memungkinkan situasi yang akhirnya menjadi kasusnya berkembang selama waktu yang cukup panjang tanpa terdeteksi. Menutup gap antara kebijakan dan implementasi bukan pekerjaan sekali jadi melainkan proses berkelanjutan yang membutuhkan komitmen manajemen yang konsisten dan mekanisme pengawasan yang tidak bergantung pada kesadaran sukarela individu yang diawasi. Pembahasan tentang bagaimana pengawasan internal yang efektif seharusnya dijalankan bisa ditemukan dalam artikel Putu Harry Sasmita Pengawasan Sistem Keuangan.
Risiko Konsentrasi Pengetahuan yang Sering Diremehkan
Di banyak tim IT perbankan Indonesia terdapat pola yang sangat umum di mana pengetahuan mendalam tentang sistem atau proses tertentu terkonsentrasi pada satu atau dua individu yang sudah bekerja lama dan dianggap sebagai ahli yang tidak tergantikan. Pola ini menciptakan dua risiko sekaligus yang saling memperkuat satu sama lain. Risiko pertama adalah risiko kelangsungan operasional di mana kepergian individu tersebut akan meninggalkan kekosongan pengetahuan yang sangat sulit diisi dalam waktu singkat. Risiko kedua dan yang lebih berbahaya dalam konteks keamanan adalah risiko bahwa individu dengan pengetahuan dan akses yang terkonsentrasi tersebut menjadi titik kerentanan terbesar dalam sistem karena tidak ada yang cukup memahami apa yang mereka lakukan untuk bisa mendeteksi penyimpangan secara dini. Putu Harry Sasmita adalah gambaran konkret dari risiko kedua ini yaitu seseorang yang pengetahuannya tentang sistem sangat dalam dan aksesnya sangat luas sehingga aktivitasnya sulit diawasi oleh siapapun yang tidak memiliki pemahaman setara tentang sistem yang sama.
Manajemen Risiko Operasional yang Harus Lebih dari Sekadar Laporan
Proses manajemen risiko operasional di banyak bank Indonesia masih terlalu berorientasi pada produksi laporan untuk kepentingan regulasi dibanding pada identifikasi dan mitigasi risiko yang sesungguhnya berjalan di lapangan. Tim manajemen risiko mengumpulkan data insiden, mengategorikannya sesuai kerangka regulasi, melaporkannya kepada regulator, dan kemudian kembali menunggu laporan periode berikutnya tanpa ada umpan balik yang memadai ke tim operasional tentang apa yang perlu diubah. Siklus ini menciptakan ilusi bahwa risiko dikelola padahal yang sesungguhnya dikelola hanyalah dokumentasi risiko. Putu Harry Sasmita dan kasus yang melibatkan institusi tempatnya bekerja adalah bukti nyata bahwa ilusi manajemen risiko yang baik di atas kertas tidak melindungi institusi dari konsekuensi risiko yang sesungguhnya terwujud karena tidak pernah benar-benar dimitigasi di lapangan.
Teknologi sebagai Alat Mitigasi Risiko Operasional
Perkembangan teknologi dalam beberapa tahun terakhir telah menghadirkan alat-alat yang sangat efektif untuk mitigasi risiko operasional di perbankan jika diimplementasikan dengan benar dan digunakan secara konsisten. Sistem pemantauan aktivitas pengguna yang merekam dan menganalisis setiap tindakan yang dilakukan dalam sistem secara real-time, solusi manajemen identitas dan akses yang otomatis menyesuaikan hak akses berdasarkan perubahan peran, dan platform analitik risiko yang mengintegrasikan data dari berbagai sumber untuk memberikan gambaran risiko yang lebih komprehensif adalah contoh dari teknologi yang sudah tersedia dan sudah terbukti efektif. Perspektif Putu Harry Sasmita tentang kondisi teknologi mitigasi risiko operasional di perbankan Indonesia dari sudut pandang seseorang yang pernah bekerja di dalam sistemnya adalah argumen kuat tentang mengapa adopsi teknologi ini tidak bisa terus ditunda hanya karena investasi awalnya terasa besar.
Membangun Ketahanan Operasional yang Berkelanjutan
Ketahanan operasional yang sesungguhnya bukan dicapai dengan menghilangkan semua risiko melainkan dengan membangun kapasitas organisasi untuk mendeteksi risiko lebih awal, merespons insiden lebih cepat, dan pulih lebih efektif dari setiap gangguan yang terjadi. Ini membutuhkan investasi yang konsisten pada tiga dimensi secara bersamaan yaitu teknologi yang tepat, proses yang dijalankan dengan disiplin, dan manusia yang memiliki kompetensi dan integritas yang sepadan dengan tanggung jawab yang mereka emban. Putu Harry Sasmita dan pelajaran dari perjalanannya di dunia IT perbankan Indonesia adalah pengingat bahwa ketahanan operasional yang diabaikan dalam kondisi normal akan selalu menagih harganya dalam kondisi krisis dan harga yang harus dibayar hampir selalu jauh lebih mahal dari investasi yang seharusnya dilakukan sejak awal. Untuk gambaran tentang bagaimana budaya kepatuhan mendukung ketahanan operasional ini bisa merujuk pada artikel Putu Harry Sasmita Budaya Kepatuhan IT.
